Actualmente internet nos permite encontrar y conocer a la mayoría de las empresas o entidades, que hacen de su página web su primera pantalla de presentación, y en la que es fundamental proporcionar una información, clara, precisa y sencilla que reforzará la imagen de la empresa ante los potenciales clientes.

Pero, ¿qué textos legales ha de incluir una página web?

En gran cantidad de portales web podemos ver, habitualmente anclados en su parte inferior, un Aviso Legal, Política de Privacidad y Política de Cookies.

Si bien es cierto que acostumbramos a ver estos tres textos juntos, es importante saber que la adecuación legal de una página web deriva por una parte de la normativa aplicable en materia de protección de datos, y por otra parte de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSI).

Normativa en materia de protección de datos.

Respecto de esta materia, es necesario centrar nuestra atención en la obligación de informar a los interesados cuando se recaben sus datos de carácter personal.

Ya la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), establecía en su artículo 5 las obligaciones respecto de la información que se ha de facilitar a los interesados en el momento en que se soliciten sus datos:

 La existencia del fichero o tratamiento, su finalidad y destinatarios.
 El carácter obligatorio o no de la respuesta, así como de sus consecuencias.
 La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
 La identidad y datos de contacto del responsable del tratamiento.

Sin embargo, ya ha sido objeto de análisis en este Blog (ver aquí), que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante RGPD), añade requisitos adicionales en cuanto a la necesidad de informar a las personas interesadas, incorporando, en líneas generales, los siguientes detalles:

 Los datos de contacto del Delegado de Protección de Datos, en su caso.
 La base jurídica o legitimación para el tratamiento.
 El plazo o los criterios de conservación de la información.
 La existencia de decisiones automatizadas o elaboración de perfiles.
 La previsión de transferencias a Terceros Países.
 El derecho a presentar una reclamación ante las Autoridades de Control.

Ahora bien, ¿cómo se puede facilitar toda esta información al interesado?

Publicado en Blog

¿Alguna vez te has preguntado como tratar los datos que aparecen reflejados en la tarjeta de contacto facilitada por un profesional?.

La consideración como datos de carácter personal de los, por todos conocidos, datos de contacto profesionales ha ido variando a lo largo de las diferentes regulaciones españolas en materia de protección de datos de carácter personal. Pongámonos en situación:

1. Situación actual en la Ley Orgánica de Protección de datos 15/1999 (en adelante, LOPD) y el Real Decreto 1720/2007 (en adelante RDLOPD) que la desarrolla.

El artículo 2.1 de la LOPD, establece que dicha ley será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, (…) entendiendo como datos de carácter personal cualquier información concerniente a personas físicas identificadas o identificables (artículo 3 LOPD).

Esta consideración fue igualmente recogida por el RDLOPD al establecer, en su artículo 2, que la LOPD sólo aplica al tratamiento de datos realizado respecto de personas físicas.

Sin embargo, nos encontramos con determinados datos de carácter personal relativos a personas físicas identificadas o identificables, cuyo tratamiento queda fuera del ámbito de aplicación de la normativa actual (artículo 2.2 RDLOPD):

1. Personas físicas que presten sus servicios en entidades jurídicas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales, es decir los datos que podemos encontrar en una tarjeta de visita.

2. Empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o naviero.

En consecuencia, resulta clara la exención del régimen de protección de datos de la LOPD y el RDLOPD los datos de contacto profesionales.

Así lo ha venido ratificando la Agencia Española de Protección de Datos, en sus diversas resoluciones como por ejemplo la resolución de fecha 27 de febrero de 2001. e informes jurídicos de entre los que destacamos: Informes 0038/2010 y 0443/2008.

Pero, ¿cuál será el régimen de protección que tendrán los datos de contacto de profesionales, una vez comience a ser plenamente exigible el Reglamento General de Protección de Datos (en adelante, RGPD)?

Publicado en Blog

¿Alguna vez te han incluido en un fichero de morosos, o te has preguntado qué requisitos tienen que darse para que puedan hacerlo?

Este tipo de registros pueden ser un recurso asequible para las empresas a la hora de valorar la relación con un posible cliente, sin embargo, no siempre se sigue el procedimiento adecuado al incluir una deuda en estas listas, cuestión que puede generar consecuencias negativas para la intimidad y el honor de la persona señalada como deudor.

Precisamente en el caso presente, el TS dictó sentencia el pasado 23 de abril condenando a una empresa de recobro a indemnizar con una cuantía de 10.000 euros por daños morales causados a una exclienta de Vodafone, cuyos datos incluyó en dos registros de morosos de forma ilícita por una deuda de 200 euros (STS 174/2018).

La sentencia relata que Vodafone cedió a la empresa de recobro Sierra Capital 2012, S.L. (en adelante Sierra Capital), un crédito que afirmaba tener frente a su exclienta, parte demandante en este asunto. Posteriormente, Sierra Capital remitió comunicación a la afectada informando de la cesión de crédito y reclamando el pago de la cuantía indicada, con la advertencia de que en caso de impago, procedería a la inclusión de sus datos en un registro de morosos.

Ante esta comunicación, la demandante realizó el pago parcial de la cantidad reclamada por no estar conforme con las penalizaciones que se le pretendían cobrar, por lo que Sierra Capital comunicó los datos de la demandante a dos ficheros de datos de solvencia patrimonial, por una deuda de 200 euros. La afectada tuvo conocimiento de que la habían incluido en un fichero de morosos cuando al solicitar una tarjeta de crédito, esta le fue denegada.

Actualmente es la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) en su artículo 29, y los artículos 37 a 44 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante RLOPD) la normativa que regula el tratamiento de datos de carácter personal en los ficheros de información sobre solvencia patrimonial y crédito.

En concreto, el artículo 38 del RLOPD establece algunos de los requisitos para que la inclusión de una deuda sea lícita:

Publicado en Blog

Cada vez más, los gigantes tecnológicos como Google o Facebook, se convierten en el foco de atención, entre otras cuestiones, con motivo del tratamiento de datos que realizan respecto de sus millones de usuarios y la forma en que lo llevan a cabo.

A este respecto, ha tenido gran repercusión mediática la resolución del procedimiento sancionador iniciado de oficio en septiembre de 2017 por la Agencia Española de Protección de Datos (en adelante AEPD), en la que la autoridad de control española impone a Whatsapp y a Facebook una multa de 300.000 € a cada una de las entidades: a Whatsapp por comunicar datos a Facebook sin haber obtenido un consentimiento válido de los usuarios y otra a Facebook por tratar esos datos para sus propios fines sin consentimiento.

Esta no es la primera vez que la AEPD analiza la comunicación de datos entre Whatsapp y Facebook, pues hemos de recordar que como analizamos en otro artículo de este Blog, en agosto de 2017 la AEPD archivó las actuaciones iniciadas a este respecto mediante expediente Nº E/04948/2016, entendiendo en aquel momento que no se vulneraba lo establecido en la normativa de protección de datos.

¿Por qué en esta ocasión la AEPD sí ha sancionado a ambas entidades?

Para poder analizar la resolución y las consideraciones de la AEPD, debemos comenzar recordando que en el año 2014 Whatsapp fue adquirida por Facebook Inc., y en agosto de 2016 la primera entidad actualizó los términos de su servicio y la política de privacidad, introduciendo cambios como el hecho de compartir información de los usuarios de Whatsapp con Facebook.

Publicado en Blog

Recientemente, una de las autoridades de control de protección de datos en España, la Autoridad Catalana de Protección de Datos (en adelante ACPD), se ha pronunciado, a través de una resolución a su procedimiento sancionador 22/2017, poniendo en jaque una práctica altamente extendida en nuestra sociedad: la anotación de contraseñas de acceso a nuestra información, en un soporte físico a la vista de terceros.

En una era de los medios digitales como la actual, en la cual las contraseñas de acceso a la información almacenada en nuestros ordenadores, correos electrónicos y otros servicios, configuran nuestro llavero virtual y cuando la confianza en nuestra memoria entra en juego, ¿quién no ha optado, en alguna ocasión, por un “cómodo” almacenamiento escrito de las contraseñas en aras de evitar hacer uso del molesto “¿Ha olvidado su contraseña?”.

Por todos es sabido que este método de almacenamiento de las contraseñas no es el más adecuado en lo que a seguridad de los datos de carácter personal se refiere. Sin embargo, la ACPD va un paso más allá, al considerar que esta práctica supone un acto de vulneración de una de las medidas de seguridad contempladas en el Título VIII del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de datos (en adelante, RDLOPD y LOPD).

En concreto, supondría la vulneración de la medida de seguridad prevista en el capítulo III, artículo 93.3 del RDLOPD: “Identificación y autenticación” que se pronuncia en los siguientes términos: "3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas, debe haber un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad

Publicado en Blog

Todo comenzó con motivo de una cena de navidad, el denunciante a principios de diciembre de 2016 realizó una reserva para cenar en el restaurante denunciado, para un día tan señalada como el 31 de diciembre. Tal y como se describe en los antecedentes de la Resolución AEPD /02302/2017 el restaurante denunciado y días previos a la cena creó un grupo de Whatsapp con la identidad de los asistentes, las mesas donde se iban a sentar cada uno y las personas que le acompañaban. Ante este hecho, el denunciante decidió salir de forma voluntaria del grupo al que había sido incluido. Aunque de nada le sirvió, pues fue incluido nuevamente por el administrador y además recibió un mensaje privado donde le indicaban que si salía del grupo se anularía su reserva. 

Recibida la denuncia la AEPD procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, pro todos los intentos de comunicación con el restaurante infractor o sus responsables fueron fallidos. La AEPD siguiendo el procedimiento, acordó someter a trámite de audiencia previa un procedimiento de apercibimiento, tras comprobar que la entidad denunciada no tenía antecedentes de sanciones y apercibimientos precedentes.

¿Qué fundamentos de derecho se dan en el presente supuesto expuesto?

Publicado en Blog

La delegación de PRODAT en Málaga, ha llegado a un acuerdo con el Instituto Municipal para la formación y el empleo del Ayuntamiento de Malaga (IMFE), para ofrecer un servicio empresarial de adecuación a la Ley Orgánica de Protección de Datos a emprendedores que inicien su actividad.

Todo ello se engloba en la estrategia de apoyo al emprendimiento que se realiza desde el Ayuntamiento de Málaga.

Esta apuesta, junto con otras iniciativas como la potenciación del sector tecnológico, el desarrollo de infraestructuras, la apuesta por el turismo cultural, el proyecto smart cities, o el desarrollo y fomento de los datos abiertos, ha consolidado a la ciudad como el corazón económico de Andalucía.

Los requisitos para poderse apuntar, si eres emprendedor, son:

1- No tener ninguna adecuación previa a la Ley Orgánica de Protección de Datos.

2- Residir en Málaga capital.

3- Rellenar los formularios de toma de datos y acudir a la sesión presencial una vez inscrito.

Se priorizará a los profesionales que acaben de darse de alta.

La adecuación incluye un servicio de asistencia jurídica y asesoramiento legal hasta el 25 de Mayo de 2018.

Si resides en Málaga, y quieres apuntarte, pincha aquí. Hay plazas limitadas.

Publicado en Blog

Una semana más, continuamos analizando la regulación del régimen sancionador en el Reglamento Europeo de Protección de Datos (RGPD) y el Anteproyecto de Ley Orgánica de Protección de Datos (Anteproyecto). En esta ocasión, nos centraremos en la figura del apercibimiento y la aplicación del régimen sancionador respecto de los organismos públicos.

Comenzando por la figura del apercibimiento, como es sabido, no nos encontramos ante una figura novedosa, puesto que ya aparece contemplada en la actual Ley Orgánica de Protección de Datos (LOPD) en su artículo 45.6, en el que se establece que el apercibimiento sólo podrá tener lugar cuando las infracciones cometidas sean de carácter leve y grave, nunca muy grave, y siempre que el infractor no haya sido sancionado o apercibido con carácter previo.

Por su parte el RGPD mantiene esta importante figura indicando para ello en su considerando 148 que, si la infracción cometida fuese leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, las autoridades de control podrán imponer un apercibimiento en lugar de sanción mediante multa.

Además, el artículo 58 en sus letras a y b dice “Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación: a) sancionar a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento; b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento”.

Publicado en Blog

Tal y como adelantábamos en nuestro anterior artículo, hoy analizaremos las sanciones a imponer, a responsables y encargados de tratamiento, por la comisión de infracciones tipificadas y la regulación que de las mismas hace el Reglamento Europeo de Protección de Datos (en adelante RGPD), y el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal (en adelante, Anteproyecto) con respecto a la actual Ley Orgánica de Protección de Datos (en adelante, LOPD)

Las sanciones deberán ser individuales, efectivas, proporcionadas y disuasorias, así lo establece el RGPD en su artículo 83.1. Será la Agencia Española de Protección de Datos (en adelante AEPD) a quién corresponderá su imposición (art.48 Anteproyecto en relación con art.58 RGPD), teniendo en cuenta los criterios de graduación (atenuantes y agravantes) que el RGPD recoge en su artículo 83.2:

a. La naturaleza, la gravedad y la duración de la infracción cometida.
b. La intencionalidad o negligencia a la hora de cometer la infracción.
c. Las medidas tomadas por el responsable para paliar los efectos de la infracción.
d. El grado de responsabilidad del responsable o encargado del tratamiento, habida cuenta de las medidas técnicas y organizativas aplicadas a los tratamientos.
e. Las infracciones anteriormente cometidas por el responsable o encargado del tratamiento.
f. El grado de cooperación con la autoridad de control para poner remedio a la infracción así como para mitigar sus efectos.
g. Las categorías de datos afectados con la infracción.
h. La forma en que la autoridad de control tuvo conocimiento de la infracción.
i. El cumplimiento de las medidas establecidas en el artículo 58, apartado 2, del RGPD siempre que estas hayan sido previamente ordenadas contra el responsable o encargado de que se trate en relación con el asunto.
j. La adhesión a Códigos de conducta o mecanismos de certificación aprobados por el RGPD.
k. Demás factores atenuantes o agravantes aplicables a las circunstancias del caso concreto.

Haciendo uso de lo indicado en este último apartado k referido, el legislador español ha incluido otros factores que podrán tenerse en cuenta para graduar las sanciones (art.76.2), esto es:

Publicado en Blog

Siguiendo con nuestro estudio y análisis del Reglamento Europeo de Protección de Datos (en adelante RGPD), en esta ocasión, nos centraremos en el desarrollo del Régimen Sancionador.

¿Cómo se encuentra regulado en el RGPD?, ¿Qué novedades introduce el RGPD respecto de la actual Ley Orgánica de Protección de Datos (en adelante, LOPD)? Y el Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal, ¿qué indica al respecto?

En el Capítulo VIII del RGPD, que reza “Recursos, responsabilidades y sanciones” se introducen las principales novedades respecto del régimen sancionador, representado los derechos y deberes de las partes y estableciendo condiciones generales y límites a la imposición de multas de carácter administrativo.

Comenzando por la tipificación de las infracciones, en el RGPD no encontramos un artículo como el 44 de nuestra actual LOPD, con una clasificación clara de infracciones en leves, graves y muy graves. El RGPD, en este sentido, podemos decir que es bastante genérico recogiendo en su considerando 148 que con el fin de reforzar la aplicación de las normas del RGPD, cualquier infracción de este debe ser castigada con sanciones, incluidas multas administrativas, con carácter adicional a medidas adecuadas impuestas por la autoridad de control en virtud del RGPD, o en sustitución de estas medidas.

Sin embargo, en España, el Anteproyecto mantiene la clasificación que conocemos, a lo largo de sus artículos 72 a 74, es decir, efectúa una relación detallada de las conductas recogidas en el RGPD donde su incumplimiento será considerado como :

1. Infracciones muy graves, de entre las 17 conductas tipificadas como muy graves por el legislador español, destacamos:

Publicado en Blog
Página 2 de 10

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal